LayerZero ha fatto un'inversione a U dopo settimane di polemiche pubbliche con Kelp DAO riguardo a un exploit da $292 milioni legato ad attaccanti nordcoreani — dicendo venerdì tardi che "ha fatto un errore" lasciando che la propria infrastruttura di verifica garantisse asset di alto valore in una configurazione vulnerabile. Un cambio di tono Per settimane LayerZero ha essenzialmente incolpato Kelp, sostenendo che lo sviluppatore avesse scelto una rischiosa configurazione di verifica “1 di 1” che lasciava una singola rete di verificatori decentralizzati (DVN) come unico punto di fallimento per i trasferimenti cross-chain. Venerdì l'azienda ha chiesto scusa e si è assunta la responsabilità per aver permesso al proprio DVN di operare come un verificatore 1/1 per transazioni di alto valore, dicendo che "non ha controllato cosa stava verificando il nostro DVN, il che ha creato un rischio che semplicemente non vedevamo. Ne siamo responsabili." Cosa è andato storto — e cosa è rimasto intatto LayerZero ha ribadito che il protocollo centrale stesso non è stato compromesso. Invece, ha attribuito l'exploit a un attacco sull'infrastruttura RPC interna utilizzata dal DVN di LayerZero Labs, aggravato da attacchi simultanei di denial-of-service distribuiti su fornitori RPC esterni. In breve: l'infrastruttura dei nodi di verifica è stata colpita, non un difetto nel design del protocollo. Correzioni immediate e aggiornamenti di sicurezza LayerZero ha anche delineato diversi cambiamenti concreti per prevenire ripetizioni: - I DVN non potranno più operare come verificatori 1/1 per flussi di alto valore. - Le soglie di sicurezza predefinite sui percorsi vengono migrate a 5/5 dove possibile, e non meno di 3/3 su catene che hanno solo tre DVN disponibili. - Un firmatario che aveva utilizzato un portafoglio hardware multisig per un trade personale (un'azione che l'azienda ha detto sia avvenuta circa tre anni e mezzo fa) è stato rimosso, i portafogli ruotati, e le politiche sui dispositivi di firma sono state inasprite. - Ulteriori misure includono software di rilevamento delle anomalie localizzato sui dispositivi e un sistema multisig su misura chiamato OneSig. Danni collaterali e fallout di mercato La pubblica inversione arriva mentre i protocolli ripensano le loro relazioni di sicurezza cross-chain. Competitori come Chainlink stanno capitalizzando sull'incertezza: Kelp ha già migrato il suo ponte rsETH al Protocollo di Interoperabilità Cross-Chain (CCIP) di Chainlink. Solv Protocol ha dichiarato questa settimana che sta trasferendo oltre $700 milioni in infrastruttura di Bitcoin tokenizzato lontano da LayerZero dopo una recente revisione della sicurezza. Perché è importante I ponti cross-chain rimangono uno dei componenti più mirati e fragili della crypto, e l'incidente evidenzia come le scelte di configurazione, le pratiche degli operatori e il rafforzamento dell'infrastruttura contino tanto quanto il design del protocollo. L'ammissione di LayerZero sottolinea che anche i fornitori di infrastrutture possono sbagliare — e che una rapida, trasparente rimediatura e una maggiore sicurezza predefinita sono ora requisiti fondamentali per mantenere la fiducia dei clienti. Leggi di più notizie generate dall'AI su: undefined/news
Articolo
LayerZero ammette errore nella configurazione 1/1 del DVN dopo l'exploit da $292M di Kelp, inasprisce la sicurezza
Disclaimer: Include opinioni di terze parti. Non è una consulenza finanziaria. Può includere contenuti sponsorizzati. Consulta i T&C.